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TCP/IP und das Internet 



I hardware-unabhangig 

I Entwicklung seit 1983 (DARPA) 

I keine zentrale Verwaltung 

kein zentraler Knoten (im Gegensatz zu 

SNA) 

Ausfallsicherheit als Designziel (DOD) 
Routing Paket-per-Paket 



TCP/IP und das Internet 



Applikationsunabhangig 

1 Standards: "RFC" (Request for Comment), 
numeriert - auf vielen Servern verfugbar, 
z.B. ftp://rtfm.mit.edu 
Auch auf der Chaos-CD enthalten 

I Im Gegensatz zu den ISO/OSI-Protokollen 
kein "offizieller" Standard, aber weithin 
akzeptiert 
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Protokolle 



Paketorientiert 
Schichtenmodell 
I Adressierung 



Schichtenmodell 



Application: Benutzerprozesse 
Transport: Paketsicherung 



Network: Paketzustellung, Routing 



Link: Hardware, Geratetreiber 



Schichtenmodell 



Application 
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Link Layer 



Ethernet 

Token Ring 
I HDLC (fur WAN) 

ISDN 
III usw. 



Ethernet 



I 10 Oder 100 Mbit/s: Gleiches Protokoll 

Frame-Typ: Ethernet-II 
I 6 Byte Adressen, weltweit eindeutig (in 

der Hardware festgelegt) 

I CSMA/CD, "Shared media", nicht 
kollisionsfrei, stochastisches Verhalten 

I Neuerdings auch "switched Ethernet", 
kollisionsfrei (gleiches Protokoll) 



Ethernet (RFC894) 



□□DC 



* 46 - 1500 Bytes Nutzdaten (Wi/=1500 byte) 
2 Byte CRC (Prufsumme) 

— 2 Byte Typ: 0800=IP, 0806=ARP, 0835=RARP 

— 6 Byte Quelladresse (source address) 
6 Byte Zieladresse (destination address) 

Der Datenteil muB notfalls auf 46 Bytes aufgefiillt werden. 



Exkurs: Ethernet-Kabel 

10Base-2 f Cheapernet lOBase-T usw. 



I Koaxial 

I RG58 Kabel, 50 Ohm 
I Bus-Verkabelung, T- 

Stucke 
I Kabel mul3 mit je 50 

Ohm terminiert sein 

Max 185 m / Segment 

10 Mbit/s 
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Verdrillte Paare 

EIA568 Cat.3/4/5 

4 Adernpaare (2 genutzt) 

Stern-Verkabelung 
vom Hub 

Max. 90+10 m/Strang 

fehlertoleranter 

10 und 100 Mbit/s _ 



Exkurs: RJ45-Stecker 



EIA 568A-Belegung: 

weiB-griin 

grun 



weiB-orange — — 

blau 

weil3-blau 
orange 

weil3-braun 
braun 



Blick auf die 
Kontakte 

Die Rastfeder zeigt nach 




IP - Internet Protocol 

Paketvermittelnd 

Ungesichert 
I verbindungslos 
I 32 bit Adressen, meist als 1.2.3.4 

(dezimal) geschrieben 
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IP - Adressen 



Eine Adresse gehort jeweils zu einem 
Interface. D.h. ein Rechner mit mehreren 
Netzwerkkarten hat auch mehrere 
Adressen. 

I Wenn Daten zu graft fur den nachsten 
Hop, werden sie zerlegt (fragmentiert) 

Mehr Details spater 



IP Paketaufbau 



Vers. H.Len 


TOS 


Gesamtlange (in byte) 


laiitende Nr.\ 


ies Paken^ 


flags 


Fragment-Offset 


Til s to live 


\ Votokoll 


l|^fsumme ti. d. Header 



\P-Adresse C^fcsce) 
esse (destinao 




Versionsnummer 
des Protokolls 



Lange des Header 
in byte 



Type of Service 



ICMP: Internet Control Message Protocol 



Fur Status- und Fehlermeldungen 

"host unreachable" 

"network unreachable" 
I PING nutzt ICMP echo request/reply 
I Teil von IP (network layer), nutzt aber IP 

Pakete zur Datenubertragung 



ARP: Address Resolution Protocol 

Zur Zustellung von IP-Paketen im LAN 
wird die physische (z.B. Ethernet-) 
Adresse benotigt 

Ethernet-Adressen (48 bit) sind weltweit 
eindeutig in der Hardware "eingebrannt" 

1 Logische IP-Adressen (32 bit) sind vom 
Netzverwalter festgelegt 

I ARP erlaubt Umsetzung 



ARP-Request (broadc ast) 
"Wer hat hier IP-Adresse 1.2.3.4?" 



ARP-Reply (unicast) 
"Ich habe IP-Adresse 1.2.3.4, und meinei 
Ethernet-Adresse ist a.b.c.d.e.f" 



UDP - User Datagram Protocol 

Simpelstes Internet-Protokoll auf 
Transportebene (Ebene 3) 

Verbindungslos 

Ungesichert - "fire and forget" 

Anwendungen: z.B. DNS, NFS 

I Zusatzlich zum 20 Byte IP-Header noch 
zwei 16 bit Portnummern, 16 bit Lange 
und eine 16 bit Priifsumme 
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UDP Paketaufbau 



IP Header (20 Byte + Optionen) 


Source port number 


Destination port number 


UDP Lange 


UDP Prufsumme 


Nutzdaten 
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Ports 

I UDP und TCP verwenden "Ports" als 
Erweiterung der IP-Adresse. 

I Eine Datenubertragung ist durch 4 
Adressen gekennzeichnet: 
I Quell-Adresse, Quell-Port 
I Ziel-Adresse, Ziel-Port 

I Ports beschreiben einen Prozess auf 
einem Rechner 



TCP: Transmission Control Protocol 

Verbindungsorientiert (wie Telefon) 
gesicherte Verbindung: Mies kommt an, in der 

richtigen Reihenfolge, und nicht doppelt 

I die meisten Internet-Anwendungen 

verwenden TCP 
I Weitaus komplexer als UDP 
I Client-Server Modell iiblich 

Versucht, Netzuberlast zu vermeiden 
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TCP Paketaufbau 



IP Header (20 Byte + Optionen) 

Destination port r 




Sequence number 
Acknowledgement number 
H.LenReserved Flags window sin 

TCP checksum urgent poin' 

ptionen (sofern vorhanden 
utzdaten (sofern vorhanden 






TCP - Sequence / Ack number 



I Sequence number: 

I Nummer des ersten Bytes in diesem Segment 
(Flags zahlen mit) 

Acknowledgement number: 
I Die Sequence number, die als nachste 
erwartet wird 



TCP - Flags 



URG - urgent pointer ist giiltig 
ACK - acknowledgement number ist giiltig 
I PSH - Empfanger soil sofort verarbeiten 
(push) 

RST - Reset der Verbindung 
I SYN - Verbindungsaufbau 
FIN - Verbindungsabbau 
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TCP - Window size 



Window size: 

Der Empfanger bestimmt, wieviel Daten er 

noch aufnehmen will (z.B. PuffergroBe) 
I Wenn der Empfanger (wieder) mehr Daten 

verarbeiten kann, sendet er ein "Window 

update" 

I Bei Window size kann nichts mehr gesendet 
werden, bis der Empfanger sein Window 
wieder bffnet (window update) 



Verbindungsaufbau 



Server 

SYN 

"meine initial sequence no. ist..." 

SYN + ACK 
"OK. Meine initial sequence no. ist..." 

ACK 
"OK" 



TCP - Verbindung steht 



Client 



Paten, ACK, window update > Server 
oder Teile davon 

Daten, ACK, window update 
oder Teile davon 

Daten, ACK, window update 
oder Teile davon 

Daten, ACK, window update 
oder Teile davon 
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TCP 



- Verbindungsabbau 



Client 



FIN_ ^ Server 

"ich bin fertig und will nicht mehr senden" 

^ ACK des FIN 



"Danke, verstanden" 



FIN 

I "ich bin fertig und will nicht mehr senden" 

ACK des FIN ^ 

"Danke, verstanden" 
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Routing 



;3s 



1 IP-Adressen sind 32 bit organisiert. 
I Es gibt Class-A, Class-B und Class-C 

Netze. Diese unterscheiden sich durch die Netzmaske, 
die angibt, welcher Teil der Adresse das Netz und 
welcher den Rechner innerhalb des Netzes bezeichnet. 

Routing-Entscheidungen werden nur nach 
dem Netz-Teil der Adresse getroffen! 

32 * 



Netzmaske 255 - 255 - 255 - 240 



Class A 


Netz 


-^Host 


Jr — 1 


M 

Q 




Class B 


Netz 


Netz 


* Host \ 


/ H l 




Class C | 


Netz 


Netz 


Netz 


h| 




Subnetz.B.I 


Netz 


Netz 


Netz 


Netz 


Host 



Es gibt nur wenige Class B und noch weniger Class A Netze. 
Class C-Netze, oder Blocke davon, sind das Ubliche. 
Die Klassen wurden eingefiihrt, um die Tabellen in den Routern 
klein zu halten. 

Es ist moglich, die Netzmaske unabhangig von der Klasse frei zu 
setzen, um ein Netz weiter zu unterteilen (subnetting) Qi 



Netzmaske 

Adresse 
Netzmaske 

Adresse & Netzmaske 
(bitweises UND) 
Netz-Teil der Adresse 
Host-Teil der Adresse 
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192. 168. 153. 23 
255. 255. 255. 240 



192. 168. 153. 16 



192. 168. 153. 16 
0. 0. 0. 7 



Routing-Ablauf 



Aufspalten der Zieladresse in Netz- und 
Host-Teil (durch AND mit der Netzmaske) 

I Durchsuchen der Routing-Tabelle nach 
dem errechneten Netzteil 

Wenn gefunden: An das in derTabelle 
eingetragene Interface senden (next hop) 
Sonst: Zur Default-Route, falls vorhanden 
Ansonsten: ICMP "Network unreachable" 



Routing-Protokolle 



I Routing-Protokolle dienen dazu, die 
Routingtabellen automatisch zu pflegen, 
wenn z.B. Wege unpassierbar werden 

1 Es gibt verschiedene Protokolle 
I RIP: Fuer LAN geeignet, viel Traffic 
I EGP, BGP: Fuer WAN / ASN zu ASN 

I Unter UNIX in routed (nur RIP) bzw. 
gated implementiert 

m 



Nameserver 



I Fur Menschen sind numerische Adressen 
schwer merkbar 

Daher sorgt das DNS (Domain Name 
System) dafiir, dal3 leichter merkbare 
Namen verwendet werden konnen 

Nameserver bilden eine weltweit verteilte 
Datenbank 



Nameserver 



I Die Namen sind hierarchisch organisiert, 
z.B. 

blackbox.congress.ccc.de 
I Eine Anfrage fragt nach 
I de? Deutschland! -> ns.nic.de 
I ccc.de? Chaos! -> ns.ccc.de 
I congress.ccc.de? -> ns.congress.ccc.de 
I Resultat: 195.21.208.23 

m 



Vermeidung von Uberlast 



Wenn das Netz an einer Stelle stark 
belastet ist (z.B. Ubergang vom LAN ins 
langsamere WAN), gehen Pakete verloren. 
Wenn nun der Sender weiter mit voller 
Kapazitat sendet, wird die Situation nur 
schlimmer. 



Vermeidung von Uberlast 



TCP hat zwei Mechanismen zur 
Vermeidung von Uberlast: Slow Start 
Congestion Avoidance. 



40 



Slow Start 



I Eine TCP-Verbindung beginnt nicht, mit 
der Window-GroGe zu senden, die die 
Gegenseite annonciert, sondern sendet 
zunachst nur ein Segment. 

I Die effektive Window-Groesse wird nun 
mit jedem eingetroffenen ACK urn ein 
weiteres Segment erhoht, bis die 
WindowgroGe erreicht ist. 
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Congestion Avoidance 

Wenn zwischendurch Pakete 
verlorengehen (erkennbar daran, dal3 
doppelte ACK-Nachrichten eintreffen), 
wird das fehlende Paket erneut gesendet 
(retransmit). 
I Die Datenrate wird dann vermindert und 
steigt langsam wieder an. 
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Anwendungen 

I Die meisten Anwendungen basieren auf 
TCP, nur wenige auf UDP. 

I UDP-basierend sind NFS (Network File 
System) und DNS. 
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UDP-Anwendungen 



NFS: Network File System, entwickelt von 
Sun. 

Relativ langsam, aber extrem stabil. Das 
Protokoll ist "stateless", d.h. alle Status- 
information liegt nur auf dem Client. Der 
Server kann zwischendurch neu starten, 
ohne dal3 der Client dies normalerweise 
merkt. 

NFS Version 2 kann auch TCP verwenden^ 



UDP-Anwendungen 

I DNS: Domain Name system 
Clients fragen uber UDP bei den Name 
Servern an. 

Die Server antworten ihrerseits per UDP. 

I Traceroute: Feststellen, wie meine Daten 
zum Empfanger kommen. 
Nur aktuelles Bild, das nachste Paket kann 
schon einen anderen Weg nehmen. 



TCP-Anwendungen 



Telnet: Terminal-Emulation, login 
SSH: Das "bessere Telnet", verschliisselt 
I FTP: Dateitransfer 

I HTTP: Ubertragungsprotokoll des WWW 

SMTP, POP3: Electronic Mail 
I usw. 
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Angriffspunkte 

Dieses Thema bildet einen besonderen 

Schwerpunkt morgen. 
Daher hier nur ein knapper Uberblick. 
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Angriffspunkte 



Denial of Service: Berechtigte Nutzer 
konnen nicht arbeiten 

I Ausspahen von Daten durch passives 
Mitlesen 

I Verfalschen von Daten unterwegs 

I Aktiver Eingriff in Netzknoten (Rechner, 

Router) 
I IP Spoofing 
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Denial of Service 



Flood ping usw.: Uberlasten eines Netzes 

oder Rechners 
I Ping mit zu groften Paketen 

SYN-flooding 
I Illegale Fragmente 
I Beruht meist auf Fehlern in der IP- 

Implementierung des angegriffenen 

Systems 



Ausspahen von Daten 



Mitlesen (Sniffer) im LAN 
I Bei Ethernet einfach 

Zur Fehleranalyse oder Spionage 
I etherfind, tcpdump, RMON-Probe 
I Mitlesen in WAN-Zwischenstationen, z.B. 
beim Internet-Provider 

I Log-Dateien, z.B. WWW Proxy 
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Einschleusen von Daten 



I Einschleusen anderer Daten (unter 
falscher Identitat) 

Ubernahme (hijacking) bestehender 
Verbindungen, z.B. juggernaut 
I Oft bei applikationsspezifischen Client- 
Server-Systemen, z.B. Datenbanken 
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IP Spoofing 



1 Setzen der Quell-Adresse im IP-Header 

auf eine andere Adresse 
I Oft eine Adresse im angegriffenen LAN 

Basis fur weitere Attacken 

Keine Antwort moglich 
I Einfache Protokolle, wie SMTP, 

funktionieren auch ohne Antwort (Antwort 

vorhersehbar) -> E-Mail Spam 
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